Una directiva del 2 de septiembre de la Agencia de Seguridad de Infraestructura y Ciberseguridad ( Cybersecurity and Infrastructure Security Agency – CISA) de EE.UU. obliga a las agencias federales civiles del poder ejecutivo, como el Departamento de Transporte, a crear políticas de divulgación de vulnerabilidades. La oficina publicó las directrices adjuntas sobre cómo deben implementarse.
Las políticas proporcionan un proceso formal para que los investigadores de seguridad informen sobre los errores que descubren en los sistemas públicos federales, como los sitios web. Si bien algunas agencias ya tienen políticas similares, algunas incluso ofrecen recompensas a los investigadores y hackers de sombrero blanco por sus hallazgos, esta es la primera vez que se realiza un esfuerzo coordinado en todo el gobierno. La iniciativa completa puede leerse en EFF.
Los delincuentes informáticos representan una amenaza continua para el gobierno federal. Aprovechando los puntos débiles de la seguridad, los atacantes podrían redirigir a los usuarios de sitios web gubernamentales legítimos a sitios fraudulentos, cerrar servicios críticos u obtener acceso a sistemas no públicos a través de ellos. Establecer un sistema formal para la notificación de errores, dijo CISA en el comentario que acompaña a la directiva, es similar a proporcionar una línea de emergencia para que el público alerte a las agencias sobre posibles problemas de seguridad.
CISA, parte del Departamento de Seguridad Nacional, abrió la directiva al comentario público antes de emitir su versión final. El borrador obtuvo comentarios de ciudadanos privados, académicos, agencias federales, empresas del sector privado y legisladores, incluida la senadora Amy Klobuchar (D., Minnesota) y el representante Jim Langevin (D., R.I.).
La directiva “establece un nuevo listón para el liderazgo en ciberseguridad por parte del gobierno federal”, dijo Langevin en un comunicado, y agregó que esperaba que sirviera de modelo para iniciativas similares en los sectores privado y sin fines de lucro.
Los investigadores de seguridad a veces evitan informar de errores porque puede ser difícil averiguar cómo informar al gobierno, dijo CISA en su directiva. Además, los investigadores tienen poca confianza en que los errores se solucionarán y temen que las mismas agencias a las que intentan ayudar puedan emprender acciones legales contra ellos, dijo CISA.
Las leyes relacionadas con la piratería, como la Ley de abuso y fraude informático de 1986, no contienen protecciones para la divulgación de vulnerabilidades, pero brindan una amplia libertad para procesar cualquier acceso no autorizado a un sistema informático, lo que deja a los investigadores de seguridad en un terreno legal turbio. Los intentos de cambiar la ley, como una propuesta de la representante Zoe Lofgren (D., Calif.), Presentada en 2013, han fracasado.
Sin embargo, durante el período de comentarios, varias agencias gubernamentales rechazaron la disposición contra la acción legal. La Oficina del Inspector General del Departamento de Educación dijo que los compromisos generales de no enjuiciar son “desacertados”, debido a la cantidad de trabajo requerido para determinar si los informadores de errores están actuando de buena fe o están tratando de utilizar la política de divulgación como una cobertura para propósitos. El Departamento de Transporte expresó su preocupación de que los investigadores pudieran acceder inadvertidamente a sistemas sensibles o interrumpir servicios vitales para el trabajo entre agencias.
“Será impracticable determinar en muchos casos cuándo las partes externas o los investigadores están procediendo de buena fe y no se involucran en conductas delictivas al interactuar con los sistemas de TI de la agencia y/o reportar vulnerabilidades”, dijo un portavoz en un correo electrónico. Además, dijo la OIG, sus inspectores generales tienen la obligación legal de remitir las presuntas violaciones de la ley federal al Fiscal General de los Estados Unidos, lo que puede entrar en conflicto con esta disposición.
Las protecciones para los investigadores legítimos han sido fuertemente apoyadas por otros, incluida la Sra. Klobuchar, quien en sus comentarios dijo que CISA debería limitar la libertad con la que las agencias individuales podrían rechazar la “buena fe” de los investigadores. “Garantizar que haya formas fáciles y seguras de informar las vulnerabilidades de la seguridad cibernética es esencial para proteger nuestra infraestructura crítica. Este fue un paso importante de CISA”, dijo la Sra. Klobuchar en un correo electrónico. También instó a los fabricantes de máquinas de votación y software a instituir políticas de divulgación similares, un tema por el que ha abogado en el pasado.
Las agencias tienen 30 días para agregar un contacto de seguridad a sus sitios web y 180 días para publicar sus políticas. CISA dijo que tomaría medidas si no cumplen, aunque no brindó detalles. La directiva también alienta a las agencias a actualizar a los reporteros de errores sobre el progreso en la reparación de fallas.